Pots de miel sont des pièges mis en place pour détecter toute tentative d’utilisation non autorisée des systèmes d’information, en vue d’apprendre des attaques pour améliorer encore la sécurité informatique. Traditionnellement, le maintien de la sécurité du réseau impliquait d’agir avec vigilance, en utilisant des techniques de défense basées sur le réseau comme les pare-feu, les systèmes de détection d’intrusion et le chiffrement. Mais la situation actuelle exige des techniques plus proactives pour détecter, détourner et contrecarrer les tentatives d’utilisation illégale des systèmes d’information. Dans un tel scénario, l’utilisation de pots de miel est une approche proactive et prometteuse pour lutter contre les menaces de sécurité hors réseau.
Qu’est-ce qu’un pot de miel
Considérant le domaine classique de la sécurité informatique, un ordinateur doit être sécurisé, mais dans le domaine de Pots de miel, les failles de sécurité sont configurées pour s’ouvrir exprès. Les pots de miel peuvent être définis comme un piège configuré pour détecter les tentatives d’utilisation non autorisée des systèmes d’information. Les pots de miel allument essentiellement les tables pour les pirates et les experts en sécurité informatique. L’objectif principal d’un Honeypot est de détecter et d’apprendre des attaques et d’utiliser davantage les informations pour améliorer la sécurité. Les pots de miel ont longtemps été utilisés pour suivre l’activité des attaquants et se défendre contre les menaces à venir. Il existe deux types de pots de miel :
- Pot de miel de recherche – Un pot de miel de recherche est utilisé pour étudier les tactiques et les techniques des intrus. Il est utilisé comme poste de surveillance pour voir comment un attaquant travaille lorsqu’il compromet un système.
- Pot de miel de production – Ceux-ci sont principalement utilisés pour la détection et pour protéger les organisations. L’objectif principal d’un pot de miel de production est d’aider à atténuer les risques dans une organisation.
Pourquoi mettre en place des pots de miel
La valeur d’un pot de miel est pesée par les informations qui peuvent en être obtenues. La surveillance des données qui entrent et sortent d’un pot de miel permet à l’utilisateur de rassembler les informations qui ne sont pas autrement disponibles. Généralement, il y a deux raisons populaires pour mettre en place un Honeypot :
- Gagner en compréhension
Comprenez comment les pirates sondent et tentent d’accéder à vos systèmes. L’idée générale est que puisqu’un enregistrement des activités du coupable est conservé, on peut acquérir une compréhension des méthodologies d’attaque pour mieux protéger leurs systèmes de production réels.
- Collecter des informations
Rassemblez les informations médico-légales nécessaires pour aider à l’arrestation ou à la poursuite des pirates. C’est le genre d’information qui est souvent nécessaire pour fournir aux responsables de l’application de la loi les détails nécessaires pour poursuivre.
Comment les pots de miel sécurisent les systèmes informatiques
Un Honeypot est un ordinateur connecté à un réseau. Ceux-ci peuvent être utilisés pour examiner les vulnérabilités du système d’exploitation ou du réseau. Selon le type de configuration, on peut étudier les failles de sécurité en général ou en particulier. Ceux-ci peuvent être utilisés pour observer les activités d’un individu qui a eu accès au Honeypot.
Les pots de miel sont généralement basés sur un vrai serveur, un vrai système d’exploitation, ainsi que des données qui semblent réelles. L’une des principales différences est l’emplacement de la machine par rapport aux serveurs réels. L’activité la plus vitale d’un pot de miel est de capturer les données, la capacité de se connecter, d’alerter et de capturer tout ce que fait l’intrus. Les informations recueillies peuvent s’avérer assez critiques contre l’attaquant.
Pots de miel à interaction élevée ou à faible interaction
Les pots de miel à haute interaction peuvent être entièrement compromis, permettant à un ennemi d’avoir un accès complet au système et de l’utiliser pour lancer d’autres attaques réseau. Avec l’aide de ces pots de miel, les utilisateurs peuvent en savoir plus sur les attaques ciblées contre leurs systèmes ou même sur les attaques d’initiés.
En revanche, les pots de miel à faible interaction ne proposent que des services qui ne peuvent pas être exploités pour obtenir un accès complet au pot de miel. Celles-ci sont plus limitées mais sont utiles pour collecter des informations à un niveau supérieur.
Avantages de l’utilisation des pots de miel
Alors que les Honeypots collectent un petit volume de données mais la quasi-totalité de ces données est une véritable attaque ou une activité non autorisée.
Avec la plupart des technologies de détection (IDS, IPS), une grande partie des alertes sont de faux avertissements, alors qu’avec les pots de miel, cela n’est pas vrai.
Honeypot interagit simplement avec les activités malveillantes et ne nécessite pas de ressources hautes performances.
Avec un pot de miel, peu importe si un attaquant utilise le cryptage ; l’activité sera toujours capturée.
Les pots de miel sont très simples à comprendre, à déployer et à entretenir.
Un Honeypot est un concept et non un outil qui peut être simplement déployé. Il faut savoir bien à l’avance ce qu’ils ont l’intention d’apprendre, puis le pot de miel peut être personnalisé en fonction de leurs besoins spécifiques. Il y a des informations utiles sur sans.org si vous avez besoin d’en savoir plus sur le sujet.
